隨著在線文檔處理需求的增加，一些看似好用且免費的工具在安全性上可能并不靠譜。據(jù)Cyber News消息，兩款在線PDF制工具已經(jīng)暴露了數(shù)萬份用戶上傳的文件。

這兩款PDF在線工具分別為PDF Pro （pdf-pro.io） 和 Help PDF （help-pdf.com），由同一家英國公司運營，均為用戶提供 PDF 轉(zhuǎn)換、壓縮、編輯以及簽署文檔功能。

研究人員發(fā)現(xiàn)，暴露的 Amazon S3 存儲桶呈開放狀態(tài)，意味著任何人都能夠獲取其中的數(shù)據(jù)。對其進行分析發(fā)現(xiàn)，這兩款工具已經(jīng)累計暴露了89062份文件，其中87818 份文件通過 PDF Pro 上傳，1244 份文件通過 Help PDF 上傳。

這些暴露的文件涉及了大量用戶的敏感信息，包括、護照、駕駛執(zhí)照、證書、合同以及其他一些個人文件和資料。研究人員稱，通過訪問這些個人文件，網(wǎng)絡犯罪分子可以從事各種欺詐活動，例如申請貸款，出租房產(chǎn)或使用受害者的身份進行物品交易，甚至可以更改或偽造合同或許可證等文件，以創(chuàng)建虛假身份、偽造資格或操縱法律協(xié)議以謀取利益，從而可能給受害者帶來法律問題。

針對暴露的存儲桶，Cyber News提出了如下緩解措施：

• 立即限制對存儲桶的公有訪問
• 更改存儲桶策略和訪問控制列表 （ACL） 以僅將訪問權(quán)限限制為授權(quán)用戶或應用程序
• 確保存儲桶中的所有對象都設置為私有或配置了適當?shù)脑L問控制
• 在存儲桶上啟用服務器端加密，以保護靜態(tài)數(shù)據(jù)。管理員可以根據(jù)自己的要求在 SSE-S3、SSE-KMS 或 SSE-C 之間進行選擇

對于用戶而言，雖然不少PDF在線工具都會聲明會對用戶文件保護，包括會加密存儲并在用戶處理完文件后刪除，但顯然，其中一些工具仍然會保留用戶文件，因此建議用戶不要將個人敏感文件上傳至網(wǎng)絡。